渗透测试考题，你是青铜还是王者？

* 1. 以下命令可以用来获取DNS记录的是？

A. who
B. ping
C. traceroute
D. dig

* 2. SQL Sever中可以使用哪个存储过程调用操作系统命令，添加系统账号?

A. xp_dirtree
B. xp_xshell
C. xp_cmdshell
D. xpdeletekey

* 3. 不属于数据库加密方式的是?

A. 硬件/软件加密
B. 库内加密
C. 专用中间件加密
D. 库外加密

* 4. IPSecVPN安全技术没有用到?

A. 端口映射技术
B. 隧道技术
C. 加密技术
D. 入侵检测技术

* 5. 小方正在对小明的网站进行渗透测试，经过一段时间的探测后，小方发现小明的网站存在一个sql注入漏洞: http://i.xiaoming.com/user/says.php?uid=1845%20skey=2014 该地址是用于搜索用户曾经的发言的页面,会返回一些留言信息，小方简单测试后发现 http://i.xiaoming.com/user /says.php?uid=1845%20skey=2014’%20or%202-1%20--%20 返回错误信息 http://i.xiaoming.com/user /says.php?uid=1845%20skey=2014’%20)%20or%201-1%20--%20 却返回空白信息则小明网站该处逻辑可能的sql语句是：

A. select * from user_says where deleted=0 and uid=$uid and skey like “%$skey%”
B. select * from user_says where deleted=0 and (uid=$uid and skey like ‘%$skey%’)
C. select * from user_says where deleted=0 and (uid=$uid and skey=’$key’)
D. select * from user_says where deleted=0 and uid=$uid and skey=’$key’

* 6. 张三将微信个人头像换成微信群中某好友头像，并将昵称改为该好友的昵称，然后向该好友的其他好友发送一些欺骗消息。该攻击行为属于以下哪类攻击？

A. 口令攻击
B. 拒绝服务攻击
C. 社会工程学攻击
D. 暴力破解

* 7. 如何防护存储型XSS漏洞?

A. 使用Cookie存储身份信息
B. 对html标签进行转义处理
C. 使用Ajax技术
D. 使用安全的浏览器

* 8. 以下算法中属于非对称算法的是?

A. DES
B. RSA算法
C. IDEA
D. 三重DES

* 9. 在web页面中增加验证码功能后，下面说法正确的是？

A. 可以防止注入攻击
B. 可以防止文件上传漏洞
C. 可以防止数据重复提交正确答案
D. 可以防止文件包含漏洞

* 10. 数据保密性安全服务的基础是？

A. 数字签名机制
B. 加密机制
C. 访问控制机制
D. 数据完整性机制

* 您的姓名：

* 联系方式

* 邮箱

* 专业或岗位

* 您意向培训应急响应哪个级别？【多选题】

CISP-PTE（国家注册渗透测试工程师）
CISP-PTS（国家注册渗透测试专家）